JREに再び脆弱性 - 電子政府「e-Gov」は最新版対応をアナウンス

サン・マイクロシステムズが提供しているJavaアプリケーションの実行環境「JRE」に脆弱性が見つかったとして、情報処理推進機構（IPA）では、注意を呼びかけている。

今回公表されたのは、JREのXSLT処理に関するもので、悪意あるJavaアプレットを利用したウェブページを閲覧した場合、任意のコードが実行されたり、情報漏洩、ブラウザの終了など被害を受ける可能性がある。

影響を受けるのは、「JRE 6 Update 4」「同5.0 Update 14」「同1.4.2_16」ほか、開発者向けパッケージ「JDK 6 Update 4」「JDK 5.0 Update 14」「SDK 1.4.2_16」などで、いずれも以前のバージョンも含まれる。

今回の脆弱性は、サン・マイクロシステムズが公開した最新版へアップデートすることで回避できるが、一部バージョンについては旧バージョンを削除する必要がある。またバージョンアップによりJavaアプリケーションの実行に影響を及ぼす可能性があるため、注意が必要だ。

同脆弱性は、2006年10月に富士通研究所の兒島尚氏よりIPAへ届け出があり、JPCERTコーディネーションセンターがサンと調整を進めてきたもので、解消まで1年5カ月かかった。

今回脆弱性が見つかった「JRE」は、政府や地方公共団体の電子申請などで幅広く利用されている。2007年には同ソフトに脆弱性が発見され、さらに旧バージョンの利用を推奨している政府機関があったことから、大きな問題となった。

今回の脆弱性について、電子政府の総合窓口となる「e-Gov電子申請システム」では、早々に最新版に対応していることを明らかにしており、最新版の利用を推奨している。

Java.com
http://java.com/ja/

サン・マイクロシステムズ
http://www.sun.co.jp/

（Security NEXT - 2008/03/11 ） ツイート

PR

関連記事

研究科サーバにサイバー攻撃、他機関のサーバ経由で - 神戸大
書籍購入者向けシステムでメアドなどが閲覧可能に - 金原出版
障害復旧作業用HDDが所在不明、内部の生徒情報 - 浦添市
元職員が個人情報を持出、サークル勧誘に利用 - 横須賀市の病院
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
体験型サービスの会員向けメールで誤送信 - キリンビール